详细内容或原文请订阅后点击阅览
Microsoft将此错误评为低可利用性。不法行为在短短8天内武器
现在正在击中企业企业目标森3月11日 - 补丁星期二 - Microsoft推出了通常的错误修复自助餐。仅仅八天后,犯罪使其中一种脆弱性武器化,利用它针对波兰和罗马尼亚的政府和私营部门目标。
来源:The Register _恶意软件3月11日 - 补丁星期二 - Microsoft推出了通常的错误修复自助餐。仅仅八天后,犯罪使其中一种脆弱性武器化,利用它针对波兰和罗马尼亚的政府和私营部门目标。
有关的Windows漏洞是CVE-2025-24054,这是一个NTLM散布漏洞,微软被评为“较小的可能”被利用。根据检查点的研究人员的说法,攻击者恳求滥用该错误的恶意软件并建立了恶意软件。
CVE-2025-24054 额定为具体来说,可以利用该漏洞在网络上泄漏受害者的Net-NTLMV2或NTLMV2-SSP哈希。根据Check Point,不法行为可以“试图违反Hash离线或执行继电器攻击”,并模仿用户访问事物并执行操作。
在最初的攻击浪潮中,网络钓鱼电子邮件引诱受害者下载了一个名为xd.zip的dropbox主持的邮政编码。内部是四个被诱杀的文件,其中包括一个利用CVE-2025-24054的.Library-MS文件。只需解压缩存档,或者在某些情况下,仅查看Windows Explorer中的文件夹就足以触发出站SMB身份验证尝试,从而将受害者的Net -ntlmv2 Hash泄漏到由攻击者控制的远程服务器中。
检查点的研究人员观察到,被盗的NTLM哈希斯被淘汰到特定的IP地址:159.196.128 [。] 120 - Harfanglab先前在一月份与APT28链接的地址,又称俄罗斯支持的熊市黑客黑客黑客黑客黑客。但是,安全店指出,没有其他信息将该IP与该组直接关联。
观察到到3月25日,攻击者不再仅依靠开放的邮政编码,并且已经开始将独立的.library-MS文件直接发送给目标。根据Microsoft的说法,可以通过最小的用户交互来触发此漏洞,例如选择(单点击)或检查(右键单击)文件。